求助，如何Dump取DLL进程-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

求助，如何Dump取DLL进程

2006-7-9 09:21 13582

求助，如何Dump取DLL进程

mingsong

2006-7-9 09:21

13582

就脱基本的壳，我脱EXE文件都很轻松就搞定，脱DLL的壳，找到OEP的时候，用插件脱下的时候老是提示“无法读取被调试进程的内存”，这是怎么回事啊，难道脱EXE和DLL有不同的方法，望解答

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・0

点赞・0

打赏

最新回复 (21)
kanxue 雪币： 32403 活跃值： (18850) 能力值： (RANK：350 ) 在线值：发帖 1826 回帖 15216 粉丝 488 关注私信	kanxue 8 2006-7-9 09:32 2 楼 0 Dump进程我还是喜欢用LordPE。 OD加载DLL到合适点后，LordPE中查找loaddll.exe进程，选中后，然后在LordPE下面的DLL模块窗口找到你DLL进程，再Dump出来。另外，编辑了一下你的标题。 http://bbs.pediy.com/showthread.php?s=&threadid=27565 4. 使用含义丰富，描述准确的标题标题直接反应帖子内容，这样，他人通过标题就能判断这问题是不是自己感兴趣的或能答复的
mingsong 雪币： 203 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 24 粉丝 0 关注私信	mingsong 2006-7-9 10:06 3 楼 0 我想知道出现这个状况的原因，就是为什么会DUMP不出呢，如果一定要用OD，有没什么技巧
kanxue 雪币： 32403 活跃值： (18850) 能力值： (RANK：350 ) 在线值：发帖 1826 回帖 15216 粉丝 488 关注私信	kanxue 8 2006-7-9 10:55 4 楼 0 最初由 mingsong* 发布* 我想知道出现这个状况的原因，就是为什么会DUMP不出呢，如果一定要用OD，有没什么技巧 DLL必须被相应的EXE进程加载到内存，OD里就是用loaddll.exe这个进程加载的。你Dump时，这个DLL进程必须到loaddll.exe所涉及到的DLL文件里找。
mingsong 雪币： 203 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 24 粉丝 0 关注私信	mingsong 2006-7-9 11:34 5 楼 0 我是这样操作的，随便找了个DLL文件，用UPX加了个壳，现在我想把这个壳脱了，手动重建输入表，找到OEP了，然后用插件DUMP，提示――无法读取被调试进程的内存，不知道原因，能加下我QQ吗，297447261，希望能帮助解决下
mingsong 雪币： 203 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 24 粉丝 0 关注私信	mingsong 2006-7-9 15:05 6 楼 0 KANXUE还在吗，在线等待大大的帮助，刚入门，问题比较多，见谅啊
kanxue 雪币： 32403 活跃值： (18850) 能力值： (RANK：350 ) 在线值：发帖 1826 回帖 15216 粉丝 488 关注私信	kanxue 8 2006-7-9 15:13 7 楼 0 最初由 mingsong* 发布* KANXUE还在吗，在线等待大大的帮助，刚入门，问题比较多，见谅啊我对你插件的提示“无法读取被调试进程的内存”，并不清楚原因，不然早就回帖告诉你了。我的方法就是用LordPE，见本帖2楼。
小虾雪币： 2367 活跃值： (756) 能力值： (RANK：410 ) 在线值：发帖 21 回帖 2235 粉丝 7 关注私信	小虾 10 2006-7-9 15:18 8 楼 0 OD的Dump插件对Dll是不太好用，用LordPE。
mingsong 雪币： 203 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 24 粉丝 0 关注私信	mingsong 2006-7-9 15:33 9 楼 0 高手加加我QQ吧，297447261，学点技术不容易啊，就这么一个小问题困扰我一天了/
kanxue 雪币： 32403 活跃值： (18850) 能力值： (RANK：350 ) 在线值：发帖 1826 回帖 15216 粉丝 488 关注私信	kanxue 8 2006-7-9 15:41 10 楼 0 最初由 mingsong* 发布* 学点技术不容易啊，就这么一个小问题困扰我一天了/ 大家都不容易。都说过了，用LordPE完全能胜任你的工作，那个插件不是太完善。这插件是开源的，你可以改进一下，以更好地支持DLL。
mingsong 雪币： 203 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 24 粉丝 0 关注私信	mingsong 2006-7-9 15:59 11 楼 0 。。，只是想知道错在哪里了，可能是比较死板吧，确实是想知道自己错在哪，希望KANXUE 能加加QQ，说下看法，交个朋友嘛！！！
mingsong 雪币： 203 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 24 粉丝 0 关注私信	mingsong 2006-7-9 16:01 12 楼 0 而且，现在LORDPE，不能帮我解决问题，我要的是没有重建输入表的脱壳文件，实在是郁闷啊
kanxue 雪币： 32403 活跃值： (18850) 能力值： (RANK：350 ) 在线值：发帖 1826 回帖 15216 粉丝 488 关注私信	kanxue 8 2006-7-9 16:04 13 楼 0 最初由 mingsong* 发布* 。。，只是想知道错在哪里了，可能是比较死板吧，确实是想知道自己错在哪，希望KANXUE 能加加QQ，说下看法，交个朋友嘛！！！不好意思，QQ很少用。如有看法帖子里会告诉你的。有时“死板”也不是坏事。应用上要灵活，学习上可以死板。;) 你可以将那插件源码找过来看看，改进一下。 http://www.pediy.com/sourcecode/pluin/olldbg/OllyDump/ollydump300110_src.zip 最初由 mingsong* 发布* 而且，现在LORDPE，不能帮我解决问题，我要的是没有重建输入表的脱壳文件，实在是郁闷啊 LORDPE选项里设置。
mingsong 雪币： 203 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 24 粉丝 0 关注私信	mingsong 2006-7-9 16:09 14 楼 0 哎，不管怎么说都要感谢下大大，辛苦了
mingsong 雪币： 203 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 24 粉丝 0 关注私信	mingsong 2006-7-9 19:00 15 楼 0 想知道下DLL文件OD 是DUMP不出来，我用LORDPE DUMP出来还是没脱掉壳，操作方法出问题了？？？
小虾雪币： 2367 活跃值： (756) 能力值： (RANK：410 ) 在线值：发帖 21 回帖 2235 粉丝 7 关注私信	小虾 10 2006-7-9 19:31 16 楼 0 修复Dump出的Dll OEP入口RAV
mingsong 雪币： 203 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 24 粉丝 0 关注私信	mingsong 2006-7-9 19:49 17 楼 0 最初由小虾发布修复Dump出的Dll OEP入口RAV 有些专业术语，小弟现在不是很清楚，能说清楚点么比如RAV？？
mingsong 雪币： 203 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 24 粉丝 0 关注私信	mingsong 2006-7-9 19:58 18 楼 0 哪位有空闲时间做个图文版的教程，相信对与DLL脱壳有许多刚入门的有这方面的需求。
小虾雪币： 2367 活跃值： (756) 能力值： (RANK：410 ) 在线值：发帖 21 回帖 2235 粉丝 7 关注私信	小虾 10 2006-7-9 20:12 19 楼 0 就是修正Dll的OEP入口偏移地址（你脱壳找到的OEP地址）。
mingsong 雪币： 203 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 24 粉丝 0 关注私信	mingsong 2006-7-10 00:12 20 楼 0 晕，搞了半天是这里出了问题，谢了啊
mingsong 雪币： 203 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 24 粉丝 0 关注私信	mingsong 2006-7-10 03:20 21 楼 0 错了，不是DUMP出来不能用，是根本DUMP不出来
BIX 雪币： 344 活跃值： (922) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 57 粉丝 7 关注私信	BIX 2020-7-19 21:53 22 楼 0 2006年。。
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

mingsong

发帖

回帖

RANK

关注

私信

他的文章

[求助]如何利用IDA PRO逆向源码

关于DLL手动脱壳

求助，如何Dump取DLL进程

关于我们

联系我们

企业服务

看雪公众号

最新回复 (21)
kanxue 雪币： 32403 活跃值： (18850) 能力值： (RANK：350 ) 在线值：发帖 1826 回帖 15216 粉丝 488 关注私信	kanxue 8 2006-7-9 09:32 2 楼 0 Dump进程我还是喜欢用LordPE。 OD加载DLL到合适点后，LordPE中查找loaddll.exe进程，选中后，然后在LordPE下面的DLL模块窗口找到你DLL进程，再Dump出来。另外，编辑了一下你的标题。 http://bbs.pediy.com/showthread.php?s=&threadid=27565 4. 使用含义丰富，描述准确的标题标题直接反应帖子内容，这样，他人通过标题就能判断这问题是不是自己感兴趣的或能答复的
mingsong 雪币： 203 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 24 粉丝 0 关注私信	mingsong 2006-7-9 10:06 3 楼 0 我想知道出现这个状况的原因，就是为什么会DUMP不出呢，如果一定要用OD，有没什么技巧
kanxue 雪币： 32403 活跃值： (18850) 能力值： (RANK：350 ) 在线值：发帖 1826 回帖 15216 粉丝 488 关注私信	kanxue 8 2006-7-9 10:55 4 楼 0 最初由 mingsong* 发布* 我想知道出现这个状况的原因，就是为什么会DUMP不出呢，如果一定要用OD，有没什么技巧 DLL必须被相应的EXE进程加载到内存，OD里就是用loaddll.exe这个进程加载的。你Dump时，这个DLL进程必须到loaddll.exe所涉及到的DLL文件里找。
mingsong 雪币： 203 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 24 粉丝 0 关注私信	mingsong 2006-7-9 11:34 5 楼 0 我是这样操作的，随便找了个DLL文件，用UPX加了个壳，现在我想把这个壳脱了，手动重建输入表，找到OEP了，然后用插件DUMP，提示――无法读取被调试进程的内存，不知道原因，能加下我QQ吗，297447261，希望能帮助解决下
mingsong 雪币： 203 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 24 粉丝 0 关注私信	mingsong 2006-7-9 15:05 6 楼 0 KANXUE还在吗，在线等待大大的帮助，刚入门，问题比较多，见谅啊
kanxue 雪币： 32403 活跃值： (18850) 能力值： (RANK：350 ) 在线值：发帖 1826 回帖 15216 粉丝 488 关注私信	kanxue 8 2006-7-9 15:13 7 楼 0 最初由 mingsong* 发布* KANXUE还在吗，在线等待大大的帮助，刚入门，问题比较多，见谅啊我对你插件的提示“无法读取被调试进程的内存”，并不清楚原因，不然早就回帖告诉你了。我的方法就是用LordPE，见本帖2楼。
小虾雪币： 2367 活跃值： (756) 能力值： (RANK：410 ) 在线值：发帖 21 回帖 2235 粉丝 7 关注私信	小虾 10 2006-7-9 15:18 8 楼 0 OD的Dump插件对Dll是不太好用，用LordPE。
mingsong 雪币： 203 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 24 粉丝 0 关注私信	mingsong 2006-7-9 15:33 9 楼 0 高手加加我QQ吧，297447261，学点技术不容易啊，就这么一个小问题困扰我一天了/
kanxue 雪币： 32403 活跃值： (18850) 能力值： (RANK：350 ) 在线值：发帖 1826 回帖 15216 粉丝 488 关注私信	kanxue 8 2006-7-9 15:41 10 楼 0 最初由 mingsong* 发布* 学点技术不容易啊，就这么一个小问题困扰我一天了/ 大家都不容易。都说过了，用LordPE完全能胜任你的工作，那个插件不是太完善。这插件是开源的，你可以改进一下，以更好地支持DLL。
mingsong 雪币： 203 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 24 粉丝 0 关注私信	mingsong 2006-7-9 15:59 11 楼 0 。。，只是想知道错在哪里了，可能是比较死板吧，确实是想知道自己错在哪，希望KANXUE 能加加QQ，说下看法，交个朋友嘛！！！
mingsong 雪币： 203 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 24 粉丝 0 关注私信	mingsong 2006-7-9 16:01 12 楼 0 而且，现在LORDPE，不能帮我解决问题，我要的是没有重建输入表的脱壳文件，实在是郁闷啊
kanxue 雪币： 32403 活跃值： (18850) 能力值： (RANK：350 ) 在线值：发帖 1826 回帖 15216 粉丝 488 关注私信	kanxue 8 2006-7-9 16:04 13 楼 0 最初由 mingsong* 发布* 。。，只是想知道错在哪里了，可能是比较死板吧，确实是想知道自己错在哪，希望KANXUE 能加加QQ，说下看法，交个朋友嘛！！！不好意思，QQ很少用。如有看法帖子里会告诉你的。有时“死板”也不是坏事。应用上要灵活，学习上可以死板。;) 你可以将那插件源码找过来看看，改进一下。 http://www.pediy.com/sourcecode/pluin/olldbg/OllyDump/ollydump300110_src.zip 最初由 mingsong* 发布* 而且，现在LORDPE，不能帮我解决问题，我要的是没有重建输入表的脱壳文件，实在是郁闷啊 LORDPE选项里设置。
mingsong 雪币： 203 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 24 粉丝 0 关注私信	mingsong 2006-7-9 16:09 14 楼 0 哎，不管怎么说都要感谢下大大，辛苦了
mingsong 雪币： 203 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 24 粉丝 0 关注私信	mingsong 2006-7-9 19:00 15 楼 0 想知道下DLL文件OD 是DUMP不出来，我用LORDPE DUMP出来还是没脱掉壳，操作方法出问题了？？？
小虾雪币： 2367 活跃值： (756) 能力值： (RANK：410 ) 在线值：发帖 21 回帖 2235 粉丝 7 关注私信	小虾 10 2006-7-9 19:31 16 楼 0 修复Dump出的Dll OEP入口RAV
mingsong 雪币： 203 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 24 粉丝 0 关注私信	mingsong 2006-7-9 19:49 17 楼 0 最初由小虾发布修复Dump出的Dll OEP入口RAV 有些专业术语，小弟现在不是很清楚，能说清楚点么比如RAV？？
mingsong 雪币： 203 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 24 粉丝 0 关注私信	mingsong 2006-7-9 19:58 18 楼 0 哪位有空闲时间做个图文版的教程，相信对与DLL脱壳有许多刚入门的有这方面的需求。
小虾雪币： 2367 活跃值： (756) 能力值： (RANK：410 ) 在线值：发帖 21 回帖 2235 粉丝 7 关注私信	小虾 10 2006-7-9 20:12 19 楼 0 就是修正Dll的OEP入口偏移地址（你脱壳找到的OEP地址）。
mingsong 雪币： 203 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 24 粉丝 0 关注私信	mingsong 2006-7-10 00:12 20 楼 0 晕，搞了半天是这里出了问题，谢了啊
mingsong 雪币： 203 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 24 粉丝 0 关注私信	mingsong 2006-7-10 03:20 21 楼 0 错了，不是DUMP出来不能用，是根本DUMP不出来
BIX 雪币： 344 活跃值： (922) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 57 粉丝 7 关注私信	BIX 2020-7-19 21:53 22 楼 0 2006年。。
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复